首发 | 霍乱时期的数据保护之 EDPB在新冠疫情爆发之下有关个人数据处理的声明

Original 黄章令博士出海互联网法律观察

2024-08-25

文/ 黄章令博士

编辑/ 魏彤

欧洲数据保护委员会（EDPB The European Data Protection Board）通过了以下声明：

欧洲各国政府、公共和私人组织都在采取措施，遏制和缓解COVID-19。这涉及到处理不同类型的个人资料。

数据保护规则(如GDPR)并不妨碍为抗击冠状病毒大流行而采取的措施。抗击传染病是所有国家共同的宝贵目标，因此应以最佳方式予以支持。遏制疾病的传播，与影响世界大部分地区的疾病作斗争时使用现代技术，这是符合人类利益的。即使如此，EDPB仍要强调，即使在这些例外情况下，数据控制者和数据处理者也必须保障数据主体的个人资料。因此，为保障个人资料的合法处理，必须考虑到若干因素，在任何情况下，应回顾在这方面采取的任何措施都必须尊重一般的法律原则，而且不能是不可逆的。紧急情况是一种可以使限制自由成为合法化的法定情形，但条件是这些限制是适当的，且限于该紧急期间。

1、处理合法化Lawfulness of processing

GDPR（《一般数据保护条例》）是一部宽泛的立法，提供了许多具体场景下处理个人数据的规则，比如与COVID-19有关的情形。GDPR允许公共卫生主管部门和雇主根据国家法律和其中规定的条件，在疫情背景下处理个人数据。例如，在公共卫生领域为了重大公共利益，处理是必要的。在这种情况下，没有必要获得个人的同意。

1.1 对于个人数据的处理，包括公共主管当局（例如公共卫生当局）的特殊类型个人数据，EDPB认为，GDPR第6及9条[1]使得在特定情形下处理特殊类型的个人数据成为可能，特别是当在符合国家法律规定和GDPR设定的条件下，由国家公共机关的法定授权。

1.2 在雇佣背景下,个人数据的处理可能需要遵守法定义务, 雇主须承担与工作地点的健康及安全有关的责任，或须承担与公众利益有关的责任，例如控制疾病及其他对健康的威胁。

GDPR还预测，对某些特殊类别个人数据的禁止处理将会取消，比如如健康卫生数据（health data），因公共健康领域为公共利益之必要而提供(Art. 9.2.i),依欧盟或成员国的法律，或有需要保障数据主体的切身利益（Art. 9.2.C），前言的第46条[2]明确提到了对流行病的控制。

1.3 关于电信数据(如位置数据)的处理，实施电子隐私指令（the ePrivacy Directive）的国家法律必须被尊重。原则上，位置数据只能在使其匿名化或征得个人同意的情况下由操作员使用。然而，《电子隐私指令》第15条允许成员国采取立法措施来保障公共安全。这种例外性质的立法只有在民主社会内，为了一个必要、适当和成比例的措施才可能发生。

这些措施必须符合《基本权利宪章》和《欧洲保护人权和基本自由公约》。此外，它还受到欧洲法院和欧洲人权法院的司法控制。在紧急情况下，它也应该严格限制在紧急情况的持续时间内。

2、处理个人资料的核心原则

处理为达到目标而必要的个人资料，应有特定及明确的目的。

此外，数据主体应获得透明的信息，包括正在进行哪些的处理活动、它们的主要特征，包括收集数据的保留时间和处理的目的。所提供的信息应容易查阅，并以清晰易懂的语言提供。

采取适当的安全措施及保密政策，确保个人资料不会向未获授权方披露，这点非常重要。为管理紧急状况而实施的措施和重要的决策程序应该被适当地记录。

3、移动位置数据的使用

欧盟成员国政府可以使用与个人移动手机相关的个人数据去监测、控制、减缓COVID-19的传播吗？

在一些成员国，政府考虑把使用移动位置数据作为一种可能的方式来监测、控制或减缓COVID-19的传播。例如，这将意味着有可能对个人进行地理定位，或通过电话或短信向特定地区的个人发送公共卫生信息。公共当局应首先设法以匿名化（anonymous）的方式处理位置数据（例如以个人无法再识别的方式处理聚合数据），用这样的方法可以得出一份在特定地区移动设备密度的报告。

个人数据保护规则不适用于已经被适当匿名的数据。

当无法只处理匿名数据时，《电子隐私指令》授权成员国可以采取立法措施保障公共安全（Art.15）.

如果处理非匿名地点数据的措施被允许采用，则会员国有义务采取适当的保障措施，例如向电子通信服务的个人提供司法救济的权利。

比例原则也应该适用。考虑到要达到的特定目的，侵害性最小的解决方案总是被优先考虑。侵入性措施可以在特殊情况下被认为是符合比例原则，，例如对个人的“跟踪”(即处理非匿名的历史位置数据)，这取决于处理的具体方式。但是，它应该加强的审查和保障，以确保尊重数据保护原则（措施的比例性表现在持续的时间、收集的范围、有限的数据保留和目的有限）。

4、雇佣关系

l 在COVID-19的疫情下，雇主可否要求访客或雇员提供具体的健康信息?

对此，比例原则和数据最小化原则的应用尤其重要。雇主应只在国家法律允许的范围内要求提供健康信息。

l 雇主可否为雇员进行身体检查?

答案取决于与就业、健康和安全相关的国家法律。雇主只有在其自身的法律义务需要时才应查阅获得和处理健康数据。

l 雇主可否向同事或外部人披露雇员感染了COVID-19 ?

雇主应通知员工有关covid-19的情况，并采取保护措施，但不应传达不必要的信息。如有需要披露确诊雇员的姓名(例如在预防的情况下)，且国家法律允许，应事先通知有关雇员，并应保护他们的尊严和操守。

l 雇主可以从COVID-19中获得哪些信息?

为依据国家立法，履行雇主的职责和组织工作，雇主可获取雇员个人信息。

[1]【译者注】GDPR第6条（处理的合法性）第1款（e）：处理是为了执行公共利益领域的任务。第9条（特殊类型的个人数据处理）第2款（g）数据处理为了重大公共利益，（i）数据处理在公共健康领域为公共利益之必要。

[2]【译者注】前言第46条，当关于数据主体或其他自然人至关重要的生命利益时，个人数据的处理也应该被认为是合法的。

更多出海互联网实务交流信息，欢迎扫码入群